CVD για NIS2 και DORA: Χάρτης τεκμηρίων ISO 27001

Στις 08:17 ένα πρωί Τρίτης, το γραμματοκιβώτιο ασφάλειας λαμβάνει μήνυμα από ανεξάρτητο ερευνητή. Το θέμα είναι ήρεμο, σχεδόν ευγενικό: «Πιθανή κατάληψη λογαριασμού στην πύλη πελατών σας». Το σώμα του μηνύματος είναι λιγότερο καθησυχαστικό. Ο ερευνητής ισχυρίζεται ότι μια αλυσιδωτή ευπάθεια στην εφαρμογή SaaS επιτρέπει σε έναν tenant να αποκτήσει πρόσβαση στα αρχεία τιμολογίων άλλου tenant. Επισυνάπτεται απόδειξη εκμετάλλευσης (proof of concept), κρυπτογραφημένη με το δημοσιευμένο δημόσιο κλειδί PGP.

Για τη Maria, τη νέα CISO της FinanTechSaaS, η χρονική στιγμή δεν θα μπορούσε να είναι χειρότερη. Η εταιρεία της μόλις υπέγραψε σημαντική σύμβαση με κορυφαία τράπεζα της ΕΕ. Η ομάδα δέουσας επιμέλειας του πελάτη έχει ήδη ζητήσει «Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών» και τεκμήρια εφαρμογής, με ρητή αναφορά σε NIS2 και DORA. Η εταιρεία διαθέτει διεύθυνση ηλεκτρονικού ταχυδρομείου security@, αλλά την παρακολουθεί ένας μόνο προγραμματιστής. Δεν υπάρχει επίσημο μητρώο παραλαβής αναφορών, δεν έχει οριστεί SLA επικύρωσης, δεν υπάρχει διαδρομή κλιμάκωσης προς τη διοίκηση και δεν υπάρχει πλήρες ίχνος ελέγχου.

Τρία χρονόμετρα ξεκινούν ταυτόχρονα.

Το πρώτο είναι επιχειρησιακό. Είναι πραγματική η ευπάθεια; Είναι εκμεταλλεύσιμη σε περιβάλλον παραγωγής; Την εκμεταλλεύεται ήδη κάποιος ενεργά;

Το δεύτερο είναι κανονιστικό. Αν εκτίθενται δεδομένα πελατών, ξεκινά η αξιολόγηση παραβίασης βάσει GDPR. Αν επηρεάζεται η παροχή υπηρεσιών προς ουσιώδη ή σημαντική οντότητα υπό το NIS2, ενδέχεται να ενεργοποιηθούν όρια αναφοράς περιστατικών. Αν η εταιρεία είναι χρηματοοικονομική οντότητα ή πάροχος ΤΠΕ που υποστηρίζει χρηματοοικονομικές υπηρεσίες, οι κανόνες του DORA για τη διαχείριση περιστατικών, την ταξινόμηση, την κλιμάκωση και την επικοινωνία με πελάτες μπορεί να καταστούν σχετικοί.

Το τρίτο αφορά τα τεκμήρια. Έξι μήνες αργότερα, ένας ελεγκτής ISO/IEC 27001:2022, επόπτης του χρηματοοικονομικού τομέα, ομάδα διασφάλισης πελατών ή επιτροπή εσωτερικού ελέγχου μπορεί να ρωτήσει: «Δείξτε μας πώς χειριστήκατε αυτή την ευπάθεια».

Σε αυτό το ερώτημα πολλοί οργανισμοί διαπιστώνουν ότι η συντονισμένη γνωστοποίηση ευπαθειών δεν είναι απλώς ένα γραμματοκιβώτιο ασφάλειας. Είναι σύστημα διακυβέρνησης. Απαιτεί ιδιοκτησία πολιτικής, δημόσιο δίαυλο αναφοράς, ροή αρχικής αξιολόγησης περιστατικών, SLA αποκατάστασης, κλιμάκωση προμηθευτών, λογική απόφασης περιστατικού, ανασκόπηση ιδιωτικότητας, αναφορά προς τη διοίκηση και τεκμήρια που αντέχουν σε έλεγχο.

Η Clarysec αντιμετωπίζει το CVD ως ολοκληρωμένο μοτίβο ελέγχων και όχι ως αυτόνομο γραμματοκιβώτιο εισερχομένων. Στο Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, ο χειρισμός ευπαθειών εμφανίζεται στη φάση Controls in Action, Step 19: Technological Controls I, όπου η καθοδήγηση είναι σαφής: οι οργανισμοί δεν πρέπει να αρχειοθετούν παθητικά τα ευρήματα ευπαθειών, αλλά να τα αξιολογούν αρχικά, να τα αναθέτουν και να τα παρακολουθούν έως το κλείσιμο. Το ίδιο πρότυπο εφαρμόζεται και στις εξωτερικές γνωστοποιήσεις. Αν κάποιος σας ενημερώσει πώς μπορεί να αποτύχει η υπηρεσία σας, το πραγματικό ερώτημα γίνεται: μπορείτε να αποδείξετε ότι το λάβατε, το αξιολογήσατε, το ιεραρχήσατε, το αποκαταστήσατε, επικοινωνήσατε σχετικά και αντλήσατε διδάγματα;

Γιατί το CVD είναι πλέον θέμα επιπέδου Διοικητικού Συμβουλίου υπό NIS2 και DORA

Για χρόνια, οι οργανισμοί με ώριμη αντίληψη ασφάλειας προσκαλούσαν ethical hackers να αναφέρουν ευπάθειες επειδή αυτό αποτελούσε καλή πρακτική. Υπό το NIS2 και το DORA, η πρακτική αυτή έχει καταστεί μέρος της ρυθμιζόμενης ψηφιακής ανθεκτικότητας.

Το NIS2 εφαρμόζεται σε πολλές μεσαίες και μεγαλύτερες οντότητες σε τομείς υψηλής κρισιμότητας και άλλους κρίσιμους τομείς, συμπεριλαμβανομένων παρόχων ψηφιακής υποδομής, παρόχων υπηρεσιών υπολογιστικού νέφους, παρόχων υπηρεσιών κέντρων δεδομένων, παρόχων διαχειριζόμενων υπηρεσιών, παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας και ορισμένων ψηφιακών παρόχων, όπως ηλεκτρονικές αγορές, μηχανές αναζήτησης και πλατφόρμες κοινωνικής δικτύωσης. Μπορεί επίσης να εφαρμόζεται ανεξαρτήτως μεγέθους σε κατηγορίες όπως πάροχοι υπηρεσιών εμπιστοσύνης, πάροχοι υπηρεσιών DNS, μητρώα TLD και πάροχοι δημόσιων δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών.

Το NIS2 Article 21 απαιτεί από ουσιώδεις και σημαντικές οντότητες να εφαρμόζουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, με προσέγγιση που καλύπτει όλους τους κινδύνους. Ένα από τα ελάχιστα πεδία είναι η ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση δικτύων και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών. Η ίδια βασική γραμμή καλύπτει επίσης τον χειρισμό περιστατικών, την ασφάλεια της εφοδιαστικής αλυσίδας, την επιχειρησιακή συνέχεια, τον έλεγχο πρόσβασης, τη διαχείριση περιουσιακών στοιχείων, την εκπαίδευση, την κρυπτογραφία και τις διαδικασίες αξιολόγησης της αποτελεσματικότητας των ελέγχων.

Το NIS2 Article 20 καθιστά επίσης ρητή τη λογοδοσία της διοίκησης. Τα διοικητικά όργανα πρέπει να εγκρίνουν τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την υλοποίηση και να παρακολουθούν εκπαίδευση. Για ένα πρόγραμμα CVD, αυτό σημαίνει ότι το Διοικητικό Συμβούλιο ή η ανώτερη διοίκηση πρέπει να κατανοεί τον δίαυλο αναφοράς, την Ομάδα Απόκρισης σε Ευπάθειες, τις προθεσμίες επικύρωσης, τις προσδοκίες αποκατάστασης, τις εξαρτήσεις από προμηθευτές και τα εναύσματα αναφοράς περιστατικών.

Το DORA δημιουργεί ειδικό τομεακό καθεστώς για χρηματοοικονομικές οντότητες από τις 17 Ιανουαρίου 2025. Καλύπτει τη διαχείριση κινδύνων ΤΠΕ, την αναφορά περιστατικών που σχετίζονται με ΤΠΕ, τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, την ανταλλαγή πληροφοριών, τον κίνδυνο τρίτων παρόχων ΤΠΕ, τις συμβατικές απαιτήσεις, την εποπτεία κρίσιμων τρίτων παρόχων ΤΠΕ και τη συνεργασία με εποπτικές αρχές. Για τις χρηματοοικονομικές οντότητες που καλύπτονται από το DORA, το DORA γενικά υπερισχύει του NIS2 ως προς τη διαχείριση κινδύνων ΤΠΕ και την αναφορά περιστατικών, επειδή αποτελεί την ειδική τομεακή νομική πράξη της Ένωσης. Ωστόσο, η πρακτική απαίτηση παραμένει η ίδια: οι χρηματοοικονομικές οντότητες και οι πάροχοι ΤΠΕ που τις εξυπηρετούν πρέπει να λειτουργούν δομημένη, τεκμηριωμένη και δοκιμάσιμη διαδικασία για την αναγνώριση, ανάλυση, ταξινόμηση, κλιμάκωση, αποκατάσταση και αξιοποίηση διδαγμάτων από αδυναμίες ΤΠΕ.

Μια αναφορά ευπάθειας μπορεί να ξεκινήσει ως τεχνικό εύρημα, να γίνει συμβάν ασφάλειας, να κλιμακωθεί σε περιστατικό, να ενεργοποιήσει αξιολόγηση παραβίασης δεδομένων προσωπικού χαρακτήρα βάσει GDPR, να απαιτήσει ενέργεια προμηθευτή και αργότερα να εμφανιστεί στη Δήλωση Εφαρμοσιμότητας του ISO/IEC 27001:2022. Γι’ αυτό το CVD πρέπει να σχεδιάζεται ως ενιαίο λειτουργικό μοντέλο μεταξύ ασφάλειας, συμμόρφωσης, μηχανικής, νομικής λειτουργίας, ιδιωτικότητας, προμηθειών και διοίκησης.

Η βάση του ISO 27001: από τη γνωστοποίηση στα τεκμήρια του ΣΔΑΠ

Το ISO/IEC 27001:2022 παρέχει στους CISO και στους επικεφαλής συμμόρφωσης το σύστημα διαχείρισης που καθιστά το CVD ελέγξιμο.

Οι ρήτρες 4.1 έως 4.4 απαιτούν από τον οργανισμό να κατανοεί τα εσωτερικά και εξωτερικά ζητήματα, τις απαιτήσεις ενδιαφερόμενων μερών, τα όρια του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) και τις εξαρτήσεις με άλλους οργανισμούς. Εδώ εντάσσονται στο ΣΔΑΠ το NIS2, το DORA, το GDPR, οι συμβάσεις πελατών, οι υποχρεώσεις προμηθευτών και οι δεσμεύσεις γνωστοποίησης ευπαθειών.

Οι ρήτρες 5.1 έως 5.3 δημιουργούν λογοδοσία της ηγεσίας. Η ανώτατη διοίκηση πρέπει να ευθυγραμμίζει την ασφάλεια πληροφοριών με τη στρατηγική κατεύθυνση, να παρέχει πόρους, να αναθέτει αρμοδιότητες και να διασφαλίζει ότι το ΣΔΑΠ επιτυγχάνει τα επιδιωκόμενα αποτελέσματα. Για το CVD, αυτό σημαίνει ορισμό Ομάδας Απόκρισης σε Ευπάθειες, καθορισμό αρμοδιότητας αποδοχής υπολειπόμενου κινδύνου και κλιμάκωση ευπαθειών υψηλού αντικτύπου προς τη διοίκηση.

Οι ρήτρες 6.1.1 έως 6.1.3 παρέχουν τον μηχανισμό διαχείρισης κινδύνου. Ο οργανισμός πρέπει να ορίζει κριτήρια κινδύνου, να αξιολογεί κινδύνους ασφάλειας πληροφοριών, να αναθέτει ιδιοκτήτες κινδύνων, να επιλέγει επιλογές αντιμετώπισης κινδύνου, να συγκρίνει τους ελέγχους με το Παράρτημα A, να παράγει Δήλωση Εφαρμοσιμότητας και να λαμβάνει έγκριση για τον υπολειπόμενο κίνδυνο. Οι ρήτρες 8.1 έως 8.3 απαιτούν στη συνέχεια επιχειρησιακό έλεγχο, προγραμματισμένες αλλαγές, έλεγχο διαδικασιών που παρέχονται εξωτερικά, αξιολογήσεις κινδύνου σε προγραμματισμένα διαστήματα ή μετά από σημαντικές αλλαγές και τεκμήρια των αποτελεσμάτων αντιμετώπισης.

Στο Zenith Blueprint, φάση Risk Management, Step 13, η Δήλωση Εφαρμοσιμότητας περιγράφεται ως κάτι περισσότερο από ένα υπολογιστικό φύλλο συμμόρφωσης:

«Το SoA είναι ουσιαστικά ένα έγγραφο γεφύρωσης: συνδέει την αξιολόγηση/αντιμετώπιση κινδύνου με τους πραγματικούς ελέγχους που διαθέτετε.»
Πηγή: Zenith Blueprint: An Auditor’s 30-Step Roadmap, φάση Risk Management, Step 13: Risk Treatment Planning and Statement of Applicability (SoA) Zenith Blueprint

Για τη συντονισμένη γνωστοποίηση ευπαθειών, το SoA πρέπει να γεφυρώνει κανονιστικές υποχρεώσεις, επιχειρησιακό κίνδυνο, ελέγχους του Παραρτήματος A, ρήτρες πολιτικής και επιχειρησιακά τεκμήρια.

Ο στόχος δεν είναι η δημιουργία παράλληλων σιλό συμμόρφωσης. Η πολιτική CVD πρέπει να είναι ελεγχόμενη διαδικασία του ΣΔΑΠ που υποστηρίζει ταυτόχρονα την πιστοποίηση ISO/IEC 27001:2022, τη συμμόρφωση με NIS2, την ετοιμότητα DORA, τη διασφάλιση πελατών και τις λειτουργίες ασφάλειας.

Η βασική γραμμή πολιτικής: τι πρέπει να λέει η πολιτική CVD

Ο πρώτος ορατός έλεγχος είναι ο δημόσιος δίαυλος γνωστοποίησης. Ερευνητές, πελάτες, προμηθευτές και συνεργάτες πρέπει να γνωρίζουν πού αναφέρουν ευπάθειες και πώς προστατεύουν ευαίσθητα τεκμήρια.

Η Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών της Clarysec Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών παρέχει τη βασική γραμμή για επιχειρήσεις:

«Δημόσιοι δίαυλοι γνωστοποίησης: Ο οργανισμός οφείλει να διατηρεί σαφή δίαυλο αναφοράς ευπαθειών, όπως ειδική διεύθυνση ηλεκτρονικού ταχυδρομείου επικοινωνίας για θέματα ασφάλειας (για παράδειγμα, security@company.com) ή διαδικτυακή φόρμα. Οι πληροφορίες αυτές πρέπει να δημοσιεύονται στη σελίδα ασφάλειας του ιστότοπου της εταιρείας μαζί με το δημόσιο κλειδί PGP του οργανισμού, ώστε να είναι δυνατές οι κρυπτογραφημένες υποβολές.»
Πηγή: Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών, Απαιτήσεις εφαρμογής, ρήτρα 6.1

Η ρήτρα αυτή επιλύει μια συχνή αστοχία ελέγχου. Πολλοί οργανισμοί ισχυρίζονται ότι αποδέχονται αναφορές, αλλά η διαδρομή αναφοράς είναι κρυμμένη, μη κρυπτογραφημένη ή ανήκει σε λάθος ομάδα. Ένας ώριμος δίαυλος είναι δημόσιος, ασφαλής, παρακολουθείται και έχει ανατεθεί σε υπεύθυνη λειτουργία.

Ο επόμενος έλεγχος είναι η πειθαρχία απόκρισης. Μια κρίσιμη αναφορά που ακολουθείται από σιωπή δημιουργεί κίνδυνο μη συντονισμένης γνωστοποίησης, κίνδυνο φήμης και κίνδυνο εκμετάλλευσης. Η Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών ορίζει συγκεκριμένη προσδοκία επιβεβαίωσης λήψης και επικύρωσης:

«Αρχική αξιολόγηση και επιβεβαίωση λήψης: Με την παραλαβή μιας αναφοράς, η VRT οφείλει να την καταγράψει και να αποστείλει επιβεβαίωση λήψης στον αναφέροντα εντός 2 εργάσιμων ημερών, αναθέτοντας αναγνωριστικό ιχνηλάτησης. Η VRT οφείλει να πραγματοποιήσει προκαταρκτική αξιολόγηση σοβαρότητας, για παράδειγμα με χρήση βαθμολόγησης CVSS, και να επικυρώσει το ζήτημα, μεταξύ άλλων με υποστήριξη από ομάδες Πληροφορικής και ανάπτυξης όπου απαιτείται, εντός στόχου 5 εργάσιμων ημερών. Οι κρίσιμες ευπάθειες, όπως εκείνες που επιτρέπουν απομακρυσμένη εκτέλεση κώδικα ή μείζονα παραβίαση δεδομένων, πρέπει να διεκπεραιώνονται κατά προτεραιότητα.»
Πηγή: Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών, Απαιτήσεις εφαρμογής, ρήτρα 6.4

Αυτή η διατύπωση δημιουργεί άμεσα σημεία τεκμηρίωσης: χρόνο παραλαβής, χρόνο επιβεβαίωσης λήψης, αναγνωριστικό ιχνηλάτησης, προκαταρκτική σοβαρότητα, αποτέλεσμα επικύρωσης και απόφαση επίσπευσης χειρισμού.

Για τις SME, η Clarysec εφαρμόζει την ίδια λογική με αναλογική υλοποίηση. Η Πολιτική Απαιτήσεων Ασφάλειας Εφαρμογών - SME Πολιτική Απαιτήσεων Ασφάλειας Εφαρμογών - SME απαιτεί από τους οργανισμούς να:

«καθορίζουν υποχρεώσεις για γνωστοποίηση ευπαθειών, χρόνους απόκρισης και εφαρμογή διορθώσεων.»
Πηγή: Πολιτική Απαιτήσεων Ασφάλειας Εφαρμογών - SME, Απαιτήσεις διακυβέρνησης, ρήτρα 5.3.2

Δεν χρειάζεστε μεγάλη ομάδα ασφάλειας προϊόντων για να είστε υπόλογοι. Χρειάζεστε ρητές υποχρεώσεις, ρεαλιστικά χρονοδιαγράμματα, ονομαστικούς υπευθύνους και τεκμήρια ότι η διαδικασία λειτουργεί.

Η ροή παραλαβής CVD: από το email του ερευνητή στο αρχείο απόφασης

Μια καλή ροή παραλαβής αναφορών είναι αρκετά απλή ώστε να εκτελείται υπό πίεση και αρκετά πλήρης ώστε να ικανοποιεί έναν ελεγκτή. Πρέπει να ξεκινά με ειδικό δίαυλο, όπως security@[company], διαδικτυακή φόρμα ή δημοσιευμένο αρχείο security.txt. Η διαδρομή υποβολής πρέπει να επιτρέπει κρυπτογραφημένα τεκμήρια, επηρεαζόμενο προϊόν ή τελικό σημείο, βήματα αναπαραγωγής, στοιχεία επικοινωνίας του αναφέροντος, προτιμώμενο χρόνο γνωστοποίησης και οποιαδήποτε ένδειξη έκθεσης δεδομένων ή ενεργής εκμετάλλευσης.

Μετά την παραλαβή, η Ομάδα Απόκρισης σε Ευπάθειες πρέπει να δημιουργεί καταχώριση σε εργαλείο GRC, πλατφόρμα διαχείρισης αιτημάτων, σύστημα διαχείρισης ευπαθειών ή ελεγχόμενο μητρώο. Το εργαλείο έχει μικρότερη σημασία από τη συνέπεια και την ποιότητα των τεκμηρίων.

Στη συνέχεια, η ροή εργασίας πρέπει να περνά από επτά επιχειρησιακά βήματα.

1. Παραλαβή: η αναφορά λαμβάνεται μέσω του δημόσιου διαύλου και καταγράφεται αυτόματα ή χειροκίνητα.
2. Επιβεβαίωση λήψης: η VRT απαντά εντός 2 εργάσιμων ημερών και αναθέτει αναγνωριστικό ιχνηλάτησης.
3. Επικύρωση: η τεχνική ομάδα αναπαράγει το ζήτημα, επιβεβαιώνει τα επηρεαζόμενα συστήματα και πραγματοποιεί προκαταρκτική βαθμολόγηση σοβαρότητας.
4. Αξιολόγηση συμβάντος: η VRT καθορίζει αν η ευπάθεια είναι μόνο αδυναμία, συμβάν ασφάλειας πληροφοριών ή περιστατικό.
5. Κλιμάκωση: τα υψηλά ή κρίσιμα ζητήματα αποστέλλονται σε ιδιοκτήτες συστημάτων, CISO, ιδιωτικότητα, νομική λειτουργία, προμηθευτές και διοίκηση, όπως απαιτείται.
6. Αποκατάσταση: η υπεύθυνη ομάδα εφαρμόζει επιδιόρθωση, μετριασμό, αντισταθμιστικό έλεγχο ή προσωρινό περιορισμό.
7. Κλείσιμο: η VRT επαληθεύει την επιδιόρθωση, επικοινωνεί με τον αναφέροντα, επικαιροποιεί τον φάκελο τεκμηρίων και καταγράφει τα διδάγματα που αντλήθηκαν.

Η Clarysec χαρτογραφεί αυτό το επιχειρησιακό βήμα στον έλεγχο ISO/IEC 27002:2022 A.5.25, αξιολόγηση και απόφαση για συμβάντα ασφάλειας πληροφοριών, και στον έλεγχο A.8.8, διαχείριση τεχνικών ευπαθειών, μέσω του Zenith Controls: The Cross-Compliance Guide Zenith Controls. Για το A.5.25, το Zenith Controls εξηγεί ότι η αξιολόγηση συμβάντος είναι η λειτουργία αρχικής αξιολόγησης ανάμεσα στις ακατέργαστες ειδοποιήσεις παρακολούθησης και τον επίσημο χειρισμό περιστατικών, με χρήση αρχείων καταγραφής, κατωφλίων και κριτηρίων απόφασης για τον καθορισμό της κλιμάκωσης. Για το A.8.8, το Zenith Controls συνδέει τη διαχείριση τεχνικών ευπαθειών με την προστασία από κακόβουλο λογισμικό, τη διαχείριση ρυθμίσεων, τη διαχείριση αλλαγών, την ασφάλεια τελικών σημείων, τις πληροφορίες απειλών, την παρακολούθηση, την ασφαλή ανάπτυξη, την αξιολόγηση συμβάντων και την απόκριση σε περιστατικά.

Ένα απόσπασμα του Zenith Controls είναι ιδιαίτερα χρήσιμο όταν υπάρχει υποψία ενεργής εκμετάλλευσης:

«Οι πληροφορίες απειλών ενημερώνουν ποιες ευπάθειες εκμεταλλεύονται ενεργά, καθοδηγώντας την ιεράρχηση της εφαρμογής διορθώσεων.»
Πηγή: Zenith Controls: The Cross-Compliance Guide, ISO/IEC 27002:2022 control 8.8, σύνδεση με control 5.7 Threat Intelligence Zenith Controls

Αυτό είναι σημαντικό σημείο διακυβέρνησης. Η σοβαρότητα δεν είναι μόνο CVSS. Μια ευπάθεια με μεσαία βαθμολογία που εκμεταλλεύεται ενεργά εναντίον του κλάδου σας μπορεί να προηγείται ενός θεωρητικά κρίσιμου ζητήματος σε μη εκτεθειμένο δοκιμαστικό σύστημα.

Πότε μια ευπάθεια γίνεται περιστατικό

Δεν είναι κάθε αναφορά ευπάθειας περιστατικό. Μια ελλιπής κεφαλίδα ασφάλειας σε περιβάλλον σταδιοποίησης δεν είναι το ίδιο με μια εκμεταλλευόμενη παράκαμψη εξουσιοδότησης που εκθέτει τιμολόγια πελατών. Ωστόσο, κάθε αξιόπιστη αναφορά ευπάθειας πρέπει να περνά από πύλη απόφασης περιστατικού.

Το NIS2 Article 23 απαιτεί από ουσιώδεις και σημαντικές οντότητες να κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην CSIRT ή στην αρμόδια αρχή περιστατικά που επηρεάζουν σημαντικά την παροχή υπηρεσιών. Σημαντικό περιστατικό είναι εκείνο που έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή επιχειρησιακή διαταραχή ή χρηματοοικονομική ζημία, ή έχει επηρεάσει ή μπορεί να επηρεάσει άλλους προκαλώντας σημαντική υλική ή μη υλική ζημία. Η ακολουθία αναφοράς περιλαμβάνει έγκαιρη προειδοποίηση εντός 24 ωρών από τη στιγμή που η οντότητα έλαβε γνώση, κοινοποίηση περιστατικού εντός 72 ωρών, ενδιάμεσες αναφορές όταν ζητηθούν και τελική αναφορά εντός ενός μηνός από την κοινοποίηση των 72 ωρών.

Τα DORA Articles 17 to 20 απαιτούν από τις χρηματοοικονομικές οντότητες να ανιχνεύουν, να διαχειρίζονται, να καταγράφουν, να ταξινομούν, να κλιμακώνουν, να κοινοποιούν και να επικοινωνούν περιστατικά που σχετίζονται με ΤΠΕ και σημαντικές κυβερνοαπειλές. Τα μείζονα περιστατικά που σχετίζονται με ΤΠΕ πρέπει να κλιμακώνονται προς την ανώτερη διοίκηση και το διοικητικό όργανο. Ενδέχεται να απαιτείται επικοινωνία με πελάτες όταν επηρεάζονται χρηματοοικονομικά συμφέροντα.

Για τις SME, η κουλτούρα αναφοράς πρέπει να είναι εξίσου σαφής. Η Πολιτική Αντιμετώπισης Περιστατικών - SME της Clarysec Πολιτική Αντιμετώπισης Περιστατικών - SME αναφέρει:

«Το προσωπικό πρέπει να αναφέρει οποιαδήποτε ύποπτη δραστηριότητα ή επιβεβαιωμένο περιστατικό στο incident@[company] ή προφορικά στον Γενικό Διευθυντή ή στον πάροχο υπηρεσιών πληροφορικής.»
Πηγή: Πολιτική Αντιμετώπισης Περιστατικών - SME, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.2.1

Στο Zenith Blueprint, φάση Controls in Action, Step 16: People Controls II, η αρχή είναι ακόμη πιο απλή:

«Όταν υπάρχει αμφιβολία, αναφέρετε.»
Πηγή: Zenith Blueprint: An Auditor’s 30-Step Roadmap, φάση Controls in Action, Step 16: People Controls II (A.6.5 to A.6.8)

Η φράση αυτή πρέπει να ισχύει για προγραμματιστές, ομάδες υποστήριξης, υπευθύνους προμηθευτών, επικεφαλής ιδιωτικότητας, διευθυντικά στελέχη και εξωτερικούς παρόχους. Μια ευπάθεια που μπορεί να επηρεάσει την εμπιστευτικότητα, την ακεραιότητα, τη διαθεσιμότητα, την εμπιστοσύνη πελατών, την κανονιστική αναφορά ή τις χρηματοοικονομικές λειτουργίες πρέπει να καταγράφεται και να αξιολογείται, όχι να αντιμετωπίζεται ανεπίσημα σε συνομιλία.

Αποκατάσταση, εφαρμογή διορθώσεων και αντισταθμιστικοί έλεγχοι

Μόλις μια ευπάθεια επικυρωθεί, πρέπει να αντιμετωπιστεί. Η αντιμετώπιση πρέπει να είναι βάσει κινδύνου, τεκμηριωμένη και χρονικά περιορισμένη.

Η Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών ορίζει την επιχειρησιακή προσδοκία:

«Σχέδιο αποκατάστασης: Πρέπει να αναπτύσσεται σχέδιο αποκατάστασης ή μετριασμού για όλες τις επιβεβαιωμένες ευπάθειες. Η εφαρμογή της επιδιόρθωσης πρέπει να ιεραρχείται βάσει σοβαρότητας. Για παράδειγμα, οι κρίσιμες ευπάθειες πρέπει να διορθώνονται ή να μετριάζονται εντός 14 ημερών όπου είναι εφικτό, ή νωρίτερα όταν εντοπίζεται ενεργή εκμετάλλευση, ενώ τα ζητήματα χαμηλότερης σοβαρότητας πρέπει να αντιμετωπίζονται εντός εύλογου χρονικού διαστήματος. Όταν καθυστερεί η πλήρης επιδιόρθωση, πρέπει να εφαρμόζονται αντισταθμιστικοί έλεγχοι ή προσωρινά μέτρα μετριασμού, όπως η απενεργοποίηση ευάλωτης λειτουργικότητας ή η αύξηση της παρακολούθησης.»
Πηγή: Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών, Απαιτήσεις εφαρμογής, ρήτρα 6.6

Για την πειθαρχία εφαρμογής διορθώσεων στις SME, η Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων - SME Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων - SME αναφέρει:

«Οι κρίσιμες διορθώσεις πρέπει να εφαρμόζονται εντός 3 ημερών από τη διάθεσή τους, ιδίως για συστήματα εκτεθειμένα στο διαδίκτυο»
Πηγή: Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων - SME, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.1.1

Αυτά τα χρονοδιαγράμματα δεν είναι αντιφατικά. Μια διόρθωση προμηθευτή για σύστημα εκτεθειμένο στο διαδίκτυο μπορεί να απαιτεί πολύ ταχεία εγκατάσταση. Μια ευπάθεια προϊόντος που απαιτεί αλλαγές κώδικα, δοκιμές παλινδρόμησης, συντονισμό με πελάτες και σταδιακή έκδοση μπορεί να απαιτεί σχέδιο αποκατάστασης με ενδιάμεσους μετριασμούς. Το κρίσιμο είναι η απόφαση να τεκμηριώνεται, να έχει ιδιοκτήτη κινδύνου και να εγκρίνεται όπου παραμένει υπολειπόμενος κίνδυνος.

Μια πρακτική ροή περίπτωσης έχει ως εξής:

1. Ένας ερευνητής αναφέρει παράκαμψη εξουσιοδότησης στο API τιμολόγησης πελατών.
2. Η VRT καταγράφει το CVD-2026-014 με χρονοσήμανση και επιβεβαιώνει τη λήψη εντός 2 εργάσιμων ημερών.
3. Η ασφάλεια προϊόντος επικυρώνει το ελάττωμα εντός 24 ωρών και αναθέτει υψηλή σοβαρότητα λόγω πρόσβασης σε δεδομένα μεταξύ tenants.
4. Η λειτουργία ιδιωτικότητας πραγματοποιεί αξιολόγηση παραβίασης GDPR, επειδή τα αρχεία τιμολογίων μπορεί να περιέχουν δεδομένα προσωπικού χαρακτήρα.
5. Ο διαχειριστής περιστατικού ανοίγει αξιολόγηση συμβάντος υπό τον έλεγχο ISO/IEC 27002:2022 A.5.25.
6. Ο ιδιοκτήτης συστήματος απενεργοποιεί το ευάλωτο τελικό σημείο μέσω προσωρινής feature flag.
7. Η ομάδα μηχανικής δημιουργεί hotfix υπό τον έλεγχο ISO/IEC 27002:2022 A.8.32, Διαχείριση αλλαγών.
8. Προστίθενται κανόνες παρακολούθησης για ενδείξεις εκμετάλλευσης, συνδεδεμένοι με A.8.15, Καταγραφή, και A.8.16, Δραστηριότητες παρακολούθησης.
9. Ο CISO ενημερώνει την ανώτερη διοίκηση επειδή το ζήτημα είναι υψηλού κινδύνου.
10. Η VRT συντονίζεται με τον ερευνητή για τον επανέλεγχο και τον χρόνο γνωστοποίησης.
11. Ο ιδιοκτήτης κινδύνου εγκρίνει το κλείσιμο μόνο μετά από δοκιμές επαλήθευσης και ανασκόπηση αντικτύπου πελατών.
12. Το SoA, το Μητρώο Κινδύνων, το αίτημα, τα αρχεία καταγραφής, η ενημέρωση προς τη διοίκηση και τα διδάγματα που αντλήθηκαν επικαιροποιούνται.

Αυτή είναι η διαφορά ανάμεσα στο «το διορθώσαμε» και στο «μπορούμε να αποδείξουμε ότι το διακυβερνήσαμε».

Εξαρτήσεις προμηθευτών και υπηρεσιών νέφους: το κρυφό σημείο αστοχίας

Πολλές αστοχίες CVD είναι στην πραγματικότητα αστοχίες προμηθευτών. Η ευπάθεια μπορεί να επηρεάζει στοιχείο SaaS, υπηρεσία νέφους, πάροχο διαχειριζόμενων υπηρεσιών ασφάλειας, πύλη πληρωμών, μεσίτη αυθεντικοποίησης, βιβλιοθήκη ανοικτού κώδικα, ομάδα εξωτερικής ανάθεσης ανάπτυξης ή υπεργολάβο.

Το NIS2 Article 21 απαιτεί ασφάλεια εφοδιαστικής αλυσίδας, συμπεριλαμβανομένων σχέσεων με άμεσους προμηθευτές και παρόχους υπηρεσιών. Τα μέτρα εφοδιαστικής αλυσίδας πρέπει να λαμβάνουν υπόψη ευπάθειες προμηθευτών, ποιότητα προϊόντων, πρακτικές κυβερνοασφάλειας και διαδικασίες ασφαλούς ανάπτυξης.

Τα DORA Articles 28 to 30 εμβαθύνουν περισσότερο για τις χρηματοοικονομικές οντότητες. Απαιτούν τη διαχείριση του κινδύνου τρίτων παρόχων ΤΠΕ ως μέρος του πλαισίου κινδύνων ΤΠΕ, με μητρώα συμβάσεων υπηρεσιών ΤΠΕ, διακρίσεις κρίσιμων ή σημαντικών λειτουργιών, δέουσα επιμέλεια πριν από τη σύναψη σύμβασης, συμβατικές απαιτήσεις ασφάλειας, συνδρομή σε περιστατικά, συνεργασία με αρχές, δικαιώματα ελέγχου, δικαιώματα λύσης και στρατηγικές εξόδου. Οι χρηματοοικονομικές οντότητες παραμένουν πλήρως υπεύθυνες για τη συμμόρφωση με το DORA ακόμη και όταν χρησιμοποιούν τρίτους παρόχους ΤΠΕ.

Η Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - SME της Clarysec Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - SME περιλαμβάνει έναν απλό κανόνα κλιμάκωσης:

«Πρέπει να ειδοποιείται αμέσως ο GM για οποιαδήποτε παραβίαση ασφάλειας, αλλαγή ή περιστατικό»
Πηγή: Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - SME, Ρόλοι και αρμοδιότητες, ρήτρα 4.4.3

Για επιχειρησιακές συμβάσεις προμηθευτών, το Zenith Blueprint, φάση Controls in Action, Step 23, συνιστά να περιλαμβάνονται υποχρεώσεις εμπιστευτικότητας, αρμοδιότητες ελέγχου πρόσβασης, τεχνικά και οργανωτικά μέτρα, χρονοδιαγράμματα αναφοράς περιστατικών, δικαίωμα ελέγχου, έλεγχοι υπεργολάβων και προβλέψεις λήξης σύμβασης. Αναφέρει:

«Αυτό που έχει σημασία είναι ότι υπάρχουν και ότι είναι κατανοητά και αποδεκτά και από τα δύο μέρη.»
Πηγή: Zenith Blueprint: An Auditor’s 30-Step Roadmap, φάση Controls in Action, Step 23: Organizational controls (5.19 to 5.37)

Η ετοιμότητα προμηθευτών για CVD πρέπει να απαντά στα εξής ερωτήματα:

• Δημοσιεύει ο προμηθευτής δίαυλο αναφοράς ευπαθειών;
• Ορίζονται στη σύμβαση χρονοδιαγράμματα ειδοποίησης για ευπάθειες;
• Αναφέρονται οι κρίσιμες ευπάθειες προμηθευτών χωρίς αδικαιολόγητη καθυστέρηση;
• Συνδέονται οι αδυναμίες που επηρεάζουν πελάτες με υποχρεώσεις συνδρομής σε περιστατικά;
• Μπορεί ο προμηθευτής να παρέχει τεκμήρια αποκατάστασης ή ενημερώσεις ασφάλειας;
• Μεταφέρονται οι υποχρεώσεις ευπαθειών σε υπεργολάβους;
• Υπάρχει στρατηγική εξόδου αν η αποκατάσταση είναι ανεπαρκής;

Εδώ συγκλίνουν NIS2, DORA και ISO/IEC 27001:2022. Η διαχείριση ευπαθειών προμηθευτών δεν είναι απλώς checkbox προμηθειών. Είναι μέρος της λειτουργικής ανθεκτικότητας.

Χαρτογράφηση τεκμηρίων για ISO 27001, NIS2, DORA, GDPR και COBIT

Τα ισχυρότερα προγράμματα CVD σχεδιάζονται πρώτα γύρω από τα τεκμήρια. Θεωρούν ότι κάθε σημαντική αναφορά μπορεί αργότερα να ανασκοπηθεί από εσωτερικό έλεγχο, ελεγκτές πιστοποίησης, ρυθμιστικές αρχές, πελάτες, ασφαλιστές ή Επιτροπή Κινδύνων του Διοικητικού Συμβουλίου.

Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης - SME της Clarysec Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης - SME αποτυπώνει μια λεπτομέρεια που πολλές ομάδες παραβλέπουν:

«Τα μεταδεδομένα (π.χ. ποιος τα συνέλεξε, πότε και από ποιο σύστημα) πρέπει να τεκμηριώνονται.»
Πηγή: Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης - SME, Απαιτήσεις εφαρμογής της πολιτικής, ρήτρα 6.2.3

Ένα στιγμιότυπο οθόνης ενός επιδιορθωμένου διακομιστή είναι αδύναμο αν κανείς δεν γνωρίζει ποιος το κατέγραψε, πότε, από ποιο σύστημα και πώς χαρτογραφείται στην ευπάθεια. Ένα αίτημα με χρονοσημάνσεις, έξοδο σαρωτή, pull request, έγκριση αλλαγής, αρχεία καταγραφής εγκατάστασης, ερώτημα παρακολούθησης, επιβεβαίωση επανελέγχου και μεταδεδομένα είναι πολύ ισχυρότερο.

Μια πιο λεπτομερής μήτρα ιχνηλασιμότητας βοηθά κατά τη δέουσα επιμέλεια πελατών και τον εσωτερικό έλεγχο.

Διαφορετικοί ελεγκτές θα δοκιμάσουν την ίδια διαδικασία από διαφορετικές οπτικές.

Ένας ελεγκτής ISO/IEC 27001:2022 θα ξεκινήσει από το ΣΔΑΠ. Θα ρωτήσει αν οι υποχρεώσεις γνωστοποίησης ευπαθειών περιλαμβάνονται στις απαιτήσεις ενδιαφερόμενων μερών, αν οι κίνδυνοι αξιολογούνται με συνέπεια, αν οι έλεγχοι εμφανίζονται στο SoA, αν υπάρχουν επιχειρησιακά τεκμήρια και αν η διοίκηση ανασκοπεί τάσεις και εκπρόθεσμα στοιχεία.

Ένας ελεγκτής DORA ή χρηματοοικονομικών υπηρεσιών θα εστιάσει στη λειτουργική ανθεκτικότητα. Θα εξετάσει την ενσωμάτωση κινδύνων ΤΠΕ, την ταξινόμηση περιστατικών, την κλιμάκωση προς την ανώτερη διοίκηση, την επικοινωνία με πελάτες, τις εξαρτήσεις από τρίτους, τις δοκιμές και τα διδάγματα που αντλήθηκαν. Αν η ευπάθεια επηρεάζει κρίσιμη ή σημαντική λειτουργία, θα αναμένει στενή σύνδεση μεταξύ του τεχνικού αιτήματος, του επιχειρησιακού αντικτύπου, των επιπτώσεων στη συνέχεια και των υποχρεώσεων προμηθευτή.

Ένας ελεγκτής GDPR θα εστιάσει στα δεδομένα προσωπικού χαρακτήρα. Ενεπλάκησαν δεδομένα προσωπικού χαρακτήρα; Υπήρξε μη εξουσιοδοτημένη πρόσβαση, απώλεια, αλλοίωση ή γνωστοποίηση; Ήταν σαφείς οι ρόλοι υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία; Αξιολογήθηκε το όριο παραβίασης; Ήταν σχετικά τα μέτρα ασφαλείας όπως η κρυπτογράφηση, ο έλεγχος πρόσβασης, η καταγραφή και η ελαχιστοποίηση;

Ένας ελεγκτής COBIT 2019 ή ISACA θα εστιάσει στη διακυβέρνηση, τη λογοδοσία, την απόδοση και τη διασφάλιση. Θα αναζητήσει ορισμένη ιδιοκτησία, μετρικές, κλιμάκωση, στόχους ελέγχων, εποπτεία της διοίκησης και παρακολούθηση εξαιρέσεων. Μια εκπρόθεσμη κρίσιμη ευπάθεια δεν είναι μόνο τεχνικό πρόβλημα. Είναι ζήτημα διακυβέρνησης, εκτός αν έχει κλιμακωθεί επίσημα και έχει γίνει αποδοχή κινδύνου.

Ένας αξιολογητής προσανατολισμένος στο NIST θα σκεφτεί με όρους Identify, Protect, Detect, Respond και Recover. Θα ζητήσει ιδιοκτησία περιουσιακών στοιχείων, αναγνώριση ευπαθειών, ιεράρχηση, προστατευτική αλλαγή, ανίχνευση εκμετάλλευσης, συντονισμό απόκρισης και επικύρωση ανάκαμψης.

Το πλεονέκτημα ενός ολοκληρωμένου μοντέλου CVD είναι ότι ο ίδιος κορμός τεκμηρίων μπορεί να υποστηρίξει όλες αυτές τις ανασκοπήσεις.

Ο μηνιαίος κύκλος ελέγχου: μετρικές που μπορεί να χρησιμοποιήσει η διοίκηση

Το CVD δεν τελειώνει όταν κλείνει το αίτημα. Η Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών απαιτεί συνεχή ανασκόπηση του αρχείου καταγραφής:

«Η VRT οφείλει να διατηρεί αρχείο καταγραφής γνωστοποίησης ευπαθειών που παρακολουθεί κάθε αναφορά από την παραλαβή έως το κλείσιμο. Το αρχείο καταγραφής πρέπει να ανασκοπείται μηνιαίως, ώστε να διασφαλίζεται η έγκαιρη πρόοδος των ανοικτών στοιχείων. Τα εκπρόθεσμα στοιχεία πρέπει να κλιμακώνονται.»
Πηγή: Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών, Παρακολούθηση και έλεγχος, ρήτρα 9.1

Αυτή η μηνιαία ανασκόπηση μετατρέπει τη γνωστοποίηση ευπαθειών σε διακυβέρνηση κατάλληλη για το Διοικητικό Συμβούλιο. Η διοίκηση δεν χρειάζεται κάθε τεχνική λεπτομέρεια. Χρειάζεται τάση, έκθεση, λογοδοσία και εκπρόθεσμο κίνδυνο.

Σε μια ώριμη υλοποίηση της Clarysec, αυτή η μηνιαία ανασκόπηση του αρχείου καταγραφής τροφοδοτεί το Μητρώο Κινδύνων, τη Δήλωση Εφαρμοσιμότητας, το backlog ασφαλούς ανάπτυξης, τις ανασκοπήσεις προμηθευτών, τα διδάγματα που αντλήθηκαν από περιστατικά, το σχέδιο εσωτερικού ελέγχου και το πακέτο αναφοράς προς τη διοίκηση.

Δημιουργήστε τη διαδικασία πριν φτάσει η σοβαρή αναφορά

Η χειρότερη στιγμή για να σχεδιάσετε τη συντονισμένη γνωστοποίηση ευπαθειών είναι αφού ένας ερευνητής έχει δημοσιοποιήσει την αδυναμία σας ή ένας κρίσιμος τραπεζικός πελάτης έχει παγώσει τη διαδικασία ένταξης. Το NIS2, το DORA, το GDPR, το ISO/IEC 27001:2022, οι προσδοκίες ανθεκτικότητας τύπου NIST και η διακυβέρνηση COBIT 2019 δείχνουν όλα προς την ίδια κατεύθυνση: η γνωστοποίηση ευπαθειών πρέπει να σχεδιάζεται, να έχει ιδιοκτήτη, να δοκιμάζεται, να τεκμηριώνεται και να βελτιώνεται.

Ξεκινήστε με αυτές τις πέντε ενέργειες:

1. Υιοθετήστε ή προσαρμόστε την Πολιτική Συντονισμένης Γνωστοποίησης Ευπαθειών.
2. Δημιουργήστε τη ροή παραλαβής και αρχικής αξιολόγησης με χρήση του Zenith Blueprint, ιδίως του Step 13 για ιχνηλασιμότητα SoA, του Step 16 για κουλτούρα αναφοράς, του Step 19 για διαχείριση τεχνικών ευπαθειών και του Step 23 για συμφωνίες προμηθευτών.
3. Χαρτογραφήστε τη ροή εργασίας μέσω του Zenith Controls, εστιάζοντας στους ελέγχους ISO/IEC 27002:2022 A.8.8, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16, A.8.25 και A.8.32.
4. Προσθέστε ρήτρες κατάλληλες για SME από τις Πολιτική Αντιμετώπισης Περιστατικών - SME, Πολιτική Διαχείρισης Ευπαθειών και Διορθώσεων - SME, Πολιτική Ασφάλειας Τρίτων Μερών και Προμηθευτών - SME, Πολιτική Απαιτήσεων Ασφάλειας Εφαρμογών - SME και Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης - SME, όπου η αναλογικότητα έχει σημασία.
5. Εκτελέστε άσκηση επιτραπέζιου σεναρίου που προσομοιώνει αναφορά ερευνητή η οποία επηρεάζει δεδομένα προσωπικού χαρακτήρα και στοιχείο που φιλοξενείται από προμηθευτή, και στη συνέχεια δοκιμάστε την επιβεβαίωση λήψης, την αρχική αξιολόγηση, την ταξινόμηση περιστατικού, την εφαρμογή διορθώσεων, την επικοινωνία με πελάτες, τη συλλογή τεκμηρίων και την κλιμάκωση προς τη διοίκηση.

Η Clarysec μπορεί να σας βοηθήσει να το μετατρέψετε σε λειτουργική πολιτική CVD, μητρώο παραλαβής αναφορών, χάρτη τεκμηρίων ISO/IEC 27001:2022, δέντρο αποφάσεων NIS2 και DORA, μοντέλο κλιμάκωσης προμηθευτών και πακέτο ελέγχων έτοιμο για έλεγχο. Ο στόχος είναι απλός: όταν φτάσει η επόμενη αναφορά ευπάθειας, η ομάδα σας δεν πρέπει να αυτοσχεδιάζει. Πρέπει να εκτελεί με αυτοπεποίθηση, τεκμήρια και έλεγχο.